Splunk를 활용한 시큐리티 모니터링 2/e - 에이콘 해킹과 보안 시리즈

Splunk를 활용한 시큐리티 모니터링 2/e - 에이콘 해킹과 보안 시리즈

$35.00
Ask a Question
Vendor: 에이콘출판 - 시진원
Type: 네트워크 구축/보안/해킹
SKU: 9791161759258
Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_OS/Networking
Tags: Splunk를활용한시큐리티모니터링2e에이콘해킹과보안시리즈 컴퓨터/인터넷_OS/Networking
Description
Splunk에서 정보보안 로그를 수집/분석하고 내부 침해 행위를 찾아내는 과정을 보여준다. 정보보안 사전 지식을 갖추고, Splunk 검색어를 작성할 수 있는 사용자를 대상으로 서술했지만, 초보자도 책의 내용을 쉽게 따라올 수 있게 작성했다. 특별히 Splunk를 활용해서 정보보안 전용 앱 구축, 정보보안 관련 로그 분석 등 많은 업무를 효율적으로 개선하기 원하는 정보보안 담당자를 위해서 쓰였다. 이번 개정판에서는 내용 및 화면 캡쳐를 최신 버전으로 반영했으며, 책 안의 화면은 모두 한글판으로 통일했다. 또한 Splunk 대시보드 스튜디오를 새롭게 추가해서 대시보드 영역을 보강했다.

저자

시진원

저자:서진원
현재구글클라우드에서시큐리티스페셜리스트업무를수행하고있다.이전에는eBay글로벌정보보호실에서아시아태평양지역정보보호담당자로근무했다.그리고한국인터넷진흥원(KoreaInternet&SecurityAgency)에서정보보호제품평가,국내인터넷보안모니터링,국가수준의주요침해사고대응을수행했다.다양한보안운영상황실및국가정보자원관리원정보보호환경구축프로젝트에참여했으며,IT와정보보호분야에서많은경험을쌓았다.아주대학교사이버보안학과겸임교수를역임했으며,현재고려대학교정보보호대학원겸임교수로활동하고있다.

목차

1장.Splunk소개
1.1Splunk와정보보호
1.2공격패러다임의전환
1.3공격동향분석
1.3.1사이버킬체인
1.3.2마이터어택
1.4위협사냥
1.4.1로그수집
1.4.2수집대상
____네트워크계층로그
____엔드포인트계층로그
____사용자인증로그
____위협정보로그
1.4.3수집로그저장
1.5실습용데이터추가
1.5.1튜토리얼데이터다운로드
1.5.2데이터추가방법
업로드
1.6요약

2장.검색
2.1장소개
2.2Splunk검색기본
2.2.1시간연산자
2.2.2검색에서필드활용하기
2.2.3검색처리언어및파이프
2.3검색명령어
2.3.1데이터나열,변환
______table
______rename
______fields
______dedup
______sort
2.3.2통계계산
______stats
______top
______rare
______len(X)
2.3.3차트시각화
______timechart
______chart
2.3.4비교분석
______eval
______case(X,"Y",
______cidrmatch("X",Y)
______if(X,Y,Z)
______like(X,"Y")
______match(X,"Y")
2.3.5다중문자열과시간
______mvindex(X,Y,Z)
______split(X,"Y")
______substr(X,Y,Z)
______round(X,Y)
______urldecode(X)
______strftime(X,Y)
______strptime(X,Y)
______now()
2.4검색어작성
2.5검색효율성높이기
2.5.1시간범위지정하기
2.5.2인덱스이름지정하기
2.5.3최대한자세한검색어사용하기
2.5.4검색필터는검색어처음에사용
2.5.5와일드카드사용자제
2.5.6fields명령어적극사용
2.6요약

3장.Splunk지식관리
3.1장소개
3.2Splunk지식개요
3.3이벤트타입
3.4룩업
3.5태그와별칭
3.5.1태그
3.5.2별칭
3.6워크플로
3.7검색매크로
3.8요약

4장.보고서와대시보드
4.1장소개
4.2보고서
4.2.1보고서생성하기
______설정메뉴에서신규보고서추가하기
______검색결과를보고서로저장하기
______대시보드패널을보고서로변환하기
4.2.2보고서편집
4.2.3보고서복제
4.2.4보고서예약
4.3클래식대시보드
4.3.1시각화종류
______이벤트리스트
______테이블
______차트
______단일값
______지도
4.3.2대시보드패널생성하기
______막대차트
______원형차트
______꺾은선형
______단일값
4.3.3클래식대시보드구축
______새대시보드만들기
______패널추가하기
______드릴다운
4.4대시보드스튜디오
4.4.1대시보드스튜디오특징
______추가된시각화차트
______배경그림을활용한시각화
______패널배치자유도증가
______패널설정창위치
______기본및체인검색
4.4.2대시보드스튜디오실습
______대시보드레이아웃디자인
______새대시보드만들기
______게임카테고리선택
______총매출액패널
______구매이력현황
______홈페이지로그인실패계정
______메일서버로그인실패계정
______비정상접근현황
4.5요약

5장.SIEM이란?
5.1소개
5.2SIEM의이해
5.2.1SIEM의정의
5.2.2주요기능
5.2.3구성요소
5.3SIEM구축
5.3.1구축전고려사항
______단일기능의SIEM을도입하지않기
______SIEM을통해얻고자하는것확인하기
______외부위협정보활용필수
5.3.2로그수집전략
______수집범위,대상
______수집로그용량산정
5.3.3로그검색및분석전략
5.3.4경고구축전략
5.4SplunkSIEM구축방안
5.4.1로그수집
5.4.2로그검색/분석
5.4.3경고
5.5요약

6장.로그수집
6.1장소개
6.2Zeek
6.2.1Zeek설치및운영
6.2.2환경설정및실행
6.2.3Zeek로그형식
6.3Sysmon
6.3.1Sysmon설치하기
6.3.2이벤트확인및운영
6.3.3Sysmon생성이벤트목록
6.4Splunk로그저장
6.4.1로컬에서직접수집
6.4.2원격로그수집-리눅스
______수집환경설정
______로그수집확인
______필드추출
6.4.3원격로그수집-윈도우
______수집환경설정
______로그수집확인
6.4.4예제로그업로드
______Zeek로그업로드
______스캐너로그업로드
______sysmon로그추가
6.5요약

7장.네트워크로그분석
7.1장소개
7.2주요서비스프로토콜
7.2.1DNS
7.2.2HTTP
7.2.3SSL/X509
7.3네트워크현황분석
7.3.1DNS
______Top10도메인현황
______TOP10도메인요청IP현황
______도메인응답코드현황
7.3.2HTTP프로토콜
______TOP10접속도메인,국가별접속
______HTTP메서드
______TOP10클라이언트오류
______TOP10서버오류
______HTTP상태코드
7.3.3SSL&x509프로토콜
______Top10접속도메인
______인증서만료임박사이트
7.4이상징후분석
7.4.1DNS이상징후
______비정상적인서브도메인길이
______비허가DNS사용/DNS터널링
______도메인엔트로피값을이용한탐지
7.4.2HTTP이상징후
______비정상메서드사용
______외부행데이터전송
______사이트이동후실행파일다운로드
______프록시서버접속
7.4.3SSL&X509
______인증서만료SSL통신
______self-signed인증서사용
7.5요약

8장.엔드포인트로그분석
8.1장소개
8.2엔드포인트로그
8.2.1엔드포인트로그의필요성및대상
8.2.2윈도우이벤트
8.2.3Sysmon
8.3PC이상징후분석
8.3.1비정상폴더에서exe파일실행
8.3.2파일실행후원본파일삭제
8.3.3실행후네트워크접속다수발생
8.3.4네트워크셸실행
8.4요약

9장.SIEM구축하기
9.1장소개
9.2SplunkSIEM앱설계
9.2.1구축목적
9.2.2구축범위
9.2.3구축전략
9.2.4메뉴설계및구성
9.2.5메뉴설명
______SIEMInsight
______네트워크현황
______이상징후
______고급검색
9.3SIEM구축
9.3.1Splunk앱생성
9.3.2SIEM메뉴구성
9.3.3SIEMInsight
______TCP목적지포트현황
______UDP목적지포트현황
______서비스현황
______출발지,목적지현황
9.3.4네트워크현황
______DNS
______HTTP
9.3.5이상징후
DNS
HTTP
9.3.6정보검색
______IP,도메인검색
______CVE검색
______악성코드정보검색
9.4패널시각화
9.5드릴다운을활용한대시보드강화
9.5.1해시값기반검색
9.5.2도메인기반검색
9.5.3대시보드내부토큰활용
9.6요약

10장.SIEM운영강화
10.1장소개
10.2오픈소스인텔리전스
10.2.1위협정보수집
10.2.2OSINT정보수집활용하기
10.2.3룩업테이블활용
10.3경고설정
10.3.1네트워크계층경고
10.3.2엔드포인트경고
10.3.3악성도메인접속경고
10.4위협사냥구현
10.4.1명령제어서버탐지
10.4.2비정상파일명탐지
10.5상황대응대시보드운영
10.5.1상황대응전략수립
10.5.2상황판단대시보드제작
10.6요약
10.7이책의요약

출판사 서평

이책의대상독자

시큐리티모니터링을이해하고기초를쌓고싶은학생,직장인
Spunk를처음접하거나관리지식을얻고싶은학생,직장인
Splunk를정보보안분야에활용하고싶은보안담당자
Splunk를활용해서정보보호업무를개선하거나성과를얻고자하는보안담당자
Splunk로자사전용앱을구축하고실무에적용하고자하는보안담당자

Splunk활용방안을고민하는사용자나Splunk를이용해서정보보호업무를수행하려는보안담당자를위한내용을담고있는책으로,총2부10장으로구성됐다.1부는Splunk의기본사항을다루고2부에서는Splunk를활용한실제SIEM구축과정을설명한다.각장의내용은다음과같다.

1장.‘Splunk소개’에서는Splunk소개와정보보호분야의공격자동향을소개한다.이에대응하기위한방어모델인사이버킬체인과MITREATT&CK을알아본다.

2장.‘검색’에서는Splunk검색및검색명령을살펴본다.매우방대한Splunk검색명령어에서보안장비로그검색에주로사용하는명령어위주로소개한다.

3장.‘Splunk지식관리’에서는Splunk검색명령어결과에의미를부여하는Splunk지식객체를설명한다.설명하는지식객체는이벤트타입(EventType),태그,룩업(lookup),워크플로와검색매크로다.이런지식객체를사용해검색결과및성능을개선할수있다.

4장.‘보고서와대시보드’에서는Splunk의리포트와대시보드기능을소개하고각각을생성하고관리하는방법을살펴본다.리포트는검색어를저장하는방법과동일한효과를가지며,향후재사용이가능한방법이다.리포트를사용해서대시보드를구축하는다양한방법도설명한다.

5장.‘SIEM이란?’에서는SIEM(SecurityInformation&EventManagement)을설명한다.또SIEM을활용한로그수집전략과경고생성등SIEM의핵심항목을살펴보고이를기반으로SIEM을구축하는전략을살펴본다.

6장.‘로그수집’에서는Splunk에서로그분석을위해서로그를수집하는방법과전략을살펴본다.수집대상로그는네트워크계층로그와엔드포인트계층인윈도우CP로그수집방법도알아본다.

7장.‘네트워크로그분석’에서는네트워크계층로그에서이상징후를추출하는분석기법을살펴본다.그리고예제로살펴보는네트워크계층에서DNS,HTTP,SSL등네트워크에서사용량이많은프로토콜위주로이상징후를탐지하는방법을소개한다.

8장.‘엔드포인트로그분석’에서는엔드포인트계층로그에서이상징후를추출하는분석기법을알아본다.또한예제로그인윈도우PC에서발생하는이상징후를정의하고이를탐지하는방법을살펴본다.

9장.‘SIEM구축하기’에서는Splunk에서SIEM앱(app,application)을구축한다.앱설계,메뉴구성,패널시각화를소개하고대시보드를구축해서SIEM을손쉽게사용할수있게한다.Splunk본연의기능인검색을대시보드로표현함으로써사용자의편의성을높인다.

10장.‘SIEM운영강화’에서는구축한SIEM앱에경고,드릴다운(drilldown)과같은사용자편의기능을추가해서사용성을높이는방안을설명한다.